[디지털데일리 이종현기자] 코로나19 기간 중 게임업계를 겨냥한 보안공격 트래픽이 가장 많이 증가했다는 조사 결과가 나왔다.
30일 아카마이는 최신 인터넷 보안 현황 보고소 ‘코로나19 시대의 게임’을 발표했다. 2020년 게임 업계를 대상으로 한 웹 애플리케이션(앱) 공격은 2019년에 비해 340% 증가한 2억4000만건이다.
아카마이는 인앱 결제와 통합된 모바일 게임이 공격의 피해자가 되고 있다고 지적했다. 해커들은 스킨, 캐릭터 강화, 추가 레벨 등 온라인 인게임 아이템에 현금을 지불하는 게임 유저를 대상으로 주요 공격 대상으로 삼았다. 피싱 키트를 사용해 게임 유저의 이메일 주소, 비밀번호, 로그인 정보, 지역정보를 알아내 다른 범죄자에게 판매하는 사례도 발견됐다.
스티브 레이건 아카마이 보안 연구원 겸 인터넷 보안 현황 보고서 저자는 “데이터를 통해 범죄자들이 끊임없이 공격을 가하고 있다는 것을 볼 수 있다”며 “범죄자들은 서버를 다운시키고 정보를 탈취하기 위해 항상 게임사의 방어 체계의 취약점을 찾고 있다. 해커들이 자신의 공격 기법과 성공사례를 공유하는 수많은 커뮤니티 또한 발견했다”고 말했다.
게이머의 로그인 인증정보와 개인정보를 겨냥한 SQL 인젝션(SQLi) 공격은 2020년 아카마이가 게임 업계에서 관측한 모든 공격의 59%를 차지한다. 웹 앱 공격 기법 중 1위다.
게임 서버 및 계정을 감염시키기 위해 애플리케이션 및 서비스 내 민감한 세부 정보를 노리는 로컬 파일 인클루전(LFI) 공격이 24%로 그 뒤를 이었다. 크로스 사이트 스크립팅(XSS)과 원격 파일 인클루전(RFI) 공격은 각각 관측된 공격의 8%, 7%를 차지했다.
아카마이에 따르면 2020년 게임 업계는 약 110억 건에 달하는 크리덴셜 스터핑 공격의 대상이 됐다. 이 수치는 2019년에 비해 224% 증가한 것이다. 이틀 동안 1억 건 이상의 폭증을 보이는 등 일별 100만 건 정도의 공격은 꾸준히 감행됐다.
특히 피싱 다음으로 흔한 계정 탈취 공격 기법인 크리덴셜 스터핑의 경우 2020년 대규모로 탈취된 사용자 이름 및 비밀번호 목록이 불법 사이트에서 겨우 5달러에 판매되었을 정도로 흔한 공격이 되었다.
스티브 레이건은 “간단한 비밀번호를 사용하거나 여러 사이트에서 같은 비밀번호를 사용하는 경우 계속된 크리덴셜 스터핑의 대상이 될 수 있다”며 “한번 크리덴셜 스터핑의 피해를 받은 경우 동일한 사용자 이름과 비밀번호가 적용된 모든 계정이 피해의 대상이 될 수 있다. 가능한 모든 사이트에서 비밀번호 관리 솔루션을 사용하거나 멀티팩터 인증을 도입하면 인증정보를 동일하게 재사용하는 것을 방지할 수 있다”고 전했다.